查看: 43069|回复: 0

[经验分享] 云课堂 第二课:从一起Linux云主机无法远程ssh登录故障说起

[复制链接]
  • TA的每日心情
    开心
    2018-5-18 10:09
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2018-2-12 11:47:17 | 显示全部楼层 |阅读模式
    小编今天给大家普及的天翼云小知识从一个电话说起:
    前几天下午,一位电信客户经理接到客户报障,说自己的天翼云Linux云主机无法SSH远程登录,上午还用得挺好,怎么下午就不能登录了呢?
    微信图片1.png

    客户经理找到了我,让我帮助看一下。我让客户提供账号密码后一试,没问题啊,可以登录,说明问题不大,不应该是云主机端的问题。

    那用户却说他们怎么也登不了,换SSH客户端也不行,附报错截图如下:
    微信图片3.jpg
    看这截图,从我的经验看像是客户的公网IP被Linux TCP Wrapper拉到SSH黑名单了啊。于是让用户提供他的公网IP地址,然后在云主机去检查是怎么回事。一看,果然客户的公网IP被云主机拉到黑名单了,公网IP正躺在 /etc/hosts.deny 配置文件里呢。

    再检查 /var/log/secure 日志及 /var/log/denyhosts 日志,确认是由于用户输入密码错误次数过多,被云主机上默认安装的 denyhosts 密码破解防御软件拦截,被自动拉进了黑名单。


    首先看/var/log/secure文件,里面有大量的密码猜测攻击,也包含用户那几次密码输入错误。
    微信图片4.jpg

    再看 /var/log/denyhosts 日志,在当天14点17分,因密码错误次数过多,客户IP地址 111.8.57.60 被加入黑名单
    微信图片5.png

    再看 /etc/hosts.deny 配置,客户的公网IP连同其它几个坏蛋IP正躺在黑名单里。
    微信图片6.png

    denyhosts 服务就是天翼云为保护Linux云主机、防止恶意暴力破解云主机密码而默认启用的安全策略。默认的策略为允许密码输入错误10次,当第11次失败就会触发安全策略,访问者的公网IP地址会被自动加入到云主机的IP地址黑名单中。IP地址进入黑名单5小时后会自动解封。刚好这个用户由于密码输入多次错误,被云主机误伤。

    如果是误操作导致公网IP进入黑名单,除了等5小时后自动解封,还有什么其它办法呢?

    需要登录到天翼云控制台,通过控制台的“远程登录” 功能进入云主机操作系统控制台,输入用户名密码后进入shell。

    以下为centos6为例讲解解封过程:

    1、首先执行命令service denyhosts stop 停止denyhosts服务

    2、使用vi或其它文本编辑修改以下配置文件,把包含被封禁的IP地址那行删掉
    /etc/hosts.deny
    /usr/share/denyhosts/data/hosts
    /usr/share/denyhosts/data/hosts-restricted
    /usr/share/denyhosts/data/hosts-root
    /usr/share/denyhosts/data/hosts-valid
    /usr/share/denyhosts/data/user-hosts

    3、最后执行命令 service denyhosts start 重新起动denyhosts服务,让denyhosts服务继续为我们服务。

    云主机暴露在公网上后,时时刻刻都有坏蛋在对云主机进行密码暴力破解、漏洞扫描等非法侵入。天翼云云主机默认安装denyhosts服务,成功把暴力破解密码攻击拦在门外,保护云主机安全。

    同时也建议广大天翼云用户,云主机密码一定要满足一定的复杂度,并定期更换密码。如果同时把SSH默认的22端口修改为其它端口,甚至禁止使用密码登录只允许使用密钥登录,那么云主机的安全才更有保障。


    -稿件提供:王普




    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则